ПОЛИТИКА
Акционерного общества «Центр развития экономики» в отношении обработки персональных данных
Оглавление

Термины и определения
1. Общие положения
1.1 Назначение Политики
1.2 Область действия Политики
1.3 Правовая основа разработки Политики
1.4 Ввод в действие и пересмотр Политики
2. Принципы и цели обработки персональных данных
3. Перечень субъектов, персональные данные которых обрабатываются в АО «ЦРЭ»
4. Состав персональных данных, обрабатываемых в АО «ЦРЭ»
5. Перечень действий с персональными данными и способы их обработки
6. Конфиденциальность персональных данных
7. Согласие на обработку персональных данных
8. Права субъектов персональных данных
9. Права и обязанности АО «ЦРЭ»
10. Меры, принимаемые АО «ЦРЭ» для выполнения обязанностей Оператора при обработке персональных данных
10.1 Меры, применяемые для защиты персональных данных
11. Ответственность за реализацию Политики
Приложение А

Перечень используемых сокращений

АО «ЦРЭ» - Акционерное общество «Центр развития экономики КоАП РФ - Кодекс Российской Федерации об административных правонарушениях ПДн - Персональные данные РФ - Российская Федерация ТК РФ - Трудовой кодекс Российской Федерации УК РФ - Уголовный кодекс Российской Федерации Термины и определения
Информация – сведения (сообщения, данные) независимо от формы их представления. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку ПДн, а также определяющее цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
Обработка персональных данных - любое действие (операция) или совокупность действия (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Информационная система персональных данных - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

1. Общие положения

1.1 Назначение Политики Настоящая Политика Акционерного общества «Центр развития экономики» (АО «ЦРЭ») в отношении обработки персональных данных (далее - Политика) определяет основные принципы, цели, условия и способы обработки персональных данных (ПДн), категории субъектов ПДн и обрабатываемых ПДн, права и обязанности АО «ЦРЭ» при обработке ПДн, права субъектов ПДн, а также реализуемые в АО «ЦРЭ» меры по обеспечению безопасности ПДн при осуществлении установленных в Уставе видов деятельности.
Положения настоящей Политики служат основой для разработки локальных актов, регламентирующих в АО «ЦРЭ» вопросы обработки ПДн работников АО «ЦРЭ», соискателей на замещение вакантных должностей, бывших работников АО «ЦРЭ» и других субъектов ПДн.

1.2 Область действия Политики Действие настоящей Политики распространяется на все процессы, связанные с обработкой ПДн и осуществляемые как с использованием средств автоматизации, так и без использования таких средств.
Все работники АО «ЦРЭ» должны ознакомиться с Политикой. Ознакомление подтверждается подписью в Листе ознакомления.

1.3 Правовая основа разработки Политики Политика разработана в соответствии с требованиями Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных», а также с учетом положений Конституции Российской Федерации (РФ), кодексов РФ, Федеральных законов и нормативно-правовых актов РФ в области персональных данных.

1.4 Ввод в действие и пересмотр Политики Настоящая Политика вводится в действие приказом Генерального директора АО «ЦРЭ» и действует бессрочно.
АО «ЦРЭ» проводит пересмотр положений настоящей Политики и их актуализацию по мере необходимости, но не реже одного раза в год, а также:
  • при изменении положений законодательства РФ в области ПДн;
  • в случаях выявления несоответствий, затрагивающих обработку и (или) защиту ПДн;
  • по результатам контроля выполнения требований по обработке и (или) защите ПДн;
  • по решению руководства АО «ЦРЭ».
При внесении изменений указывается дата последнего обновления редакции. Новая редакция вводится в действие приказом Генерального директора АО «ЦРЭ». Старая версия Политики вместе с листом ознакомления хранится у лица, ответственного за организацию обработки ПДн.
Актуальная версия Политики на бумажном носителе хранится в отделе кадров АО «ЦРЭ».
В соответствии с ч. 2 ст. 18.1 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» обеспечение неограниченного доступа к Политике реализуется путем ее публикации на сайте АО «ЦРЭ» в сети Интернет (https://b2b-china.pro/).

2. Принципы и цели обработки персональных данных

АО «ЦРЭ» является Оператором и осуществляет обработку ПДн работников АО «ЦРЭ», клиентов АО «ЦРЭ», а также других субъектов ПДн, не состоящих с АО «ЦРЭ» в договорных отношениях.
АО «ЦРЭ» не поручает обработку ПДн третьим лицам.
Обработка ПДн в АО «ЦРЭ» осуществляется на основе следующих принципов:
  • обработка ПДн осуществляется на законной и справедливой основе;
  • обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
  • не допускается обработка ПДн, не совместимая с целями сбора ПДн;
  • не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
  • обработке подлежат только ПДн, которые отвечают целям их обработки;
  • содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки;
  • при обработке ПДн обеспечивается точность ПДн, их достаточность и актуальность по отношению к целям обработки ПДн;
  • хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральными законами РФ, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
  • обрабатываемые ПДн подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральными законами РФ

В АО «ЦРЭ» ведется обработка ПДн в целях:
  • осуществления функций, полномочий и обязанностей, возложенных законодательством РФ на АО «ЦРЭ», в том числе по соблюдению законодательства об акционерных обществах, а также предоставлению ПДн в органы государственной власти, в Пенсионный фонд РФ, в Фонд социального страхования РФ, в Федеральный фонд обязательного медицинского страхования;
  • регулирования трудовых отношений с работниками АО «ЦРЭ» (содействие в трудоустройстве, обучение, обеспечение взаимодействия работников АО «ЦРЭ» между собой, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
  • обеспечение соблюдения локальных нормативных правовых актов АО «ЦРЭ»;
  • подготовки, заключения, исполнения и прекращения договоров с клиентами и/или контрагентами АО «ЦРЭ»;
  • консультаций по продуктам и услугам АО «ЦРЭ», а также продвижения продуктов и услуг АО «ЦРЭ» и проведения маркетинговых мероприятий, в том числе премий в области закупок, учрежденных АО «ЦРЭ;
  • обеспечения пропускного режима;
  • формирования справочных материалов для внутреннего информационного обеспечения деятельности АО «ЦРЭ».

3. Перечень субъектов, персональные данные которых обрабатываются в АО «ЦРЭ»

В АО «ЦРЭ» ведется обработка ПДн следующих категорий субъектов:
  • работники АО «ЦРЭ»;
  • исполнители (физические лица) по договорам гражданско-правового характера;
  • соискатели на замещение вакантных должностей;
  • бывшие работники АО «ЦРЭ»;
  • клиенты (представители клиентов) АО «ЦРЭ»;
  • другие субъекты ПДн (для обеспечения целей, указанных в разделе 2 Политики).

4. Состав персональных данных, обрабатываемых в АО «ЦРЭ»

Перечень ПДн, обрабатываемых в АО «ЦРЭ», определяется в соответствии с требованиями законодательства РФ, а также локальных нормативных правовых актов АО «ЦРЭ» с учетом целей обработки ПДн, указанных в разделе 2 Политики.

Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных и/или философских убеждений, состояния здоровья, интимной жизни, в АО «ЦРЭ» не осуществляется.

Обработка биометрических ПДн (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность, и которые используются Оператором для установления личности субъекта ПДн) в АО «ЦРЭ» не осуществляется.

5. Перечень действий с персональными данными и способы их обработки

В АО «ЦРЭ» осуществляются следующие виды обработки ПДн:
  • сбор;
  • запись;
  • систематизация;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • использование;
  • извлечение;
  • передача (предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение.

Обработка ПДн в АО «ЦРЭ» осуществляется следующими способами:
  • неавтоматизированная обработка ПДн;
  • автоматизированная обработка ПДн;
  • смешанная обработка ПДн.
АО «ЦРЭ» не осуществляет трансграничную передачу ПДн.
АО «ЦРЭ» не предоставляет и не раскрывает сведения, содержащие ПДн субъектов ПДн, третьей стороне без согласия субъекта ПДн, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами РФ.

По мотивированному запросу исключительно для выполнения возложенных законодательством обязательств, функций и полномочий ПДн субъекта ПДн без его согласия могут быть переданы:
  • в судебные органы в связи с осуществлением правосудия;
  • в органы федеральной службы безопасности;
  • в органы прокуратуры;
  • в органы полиции;
  • в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.

6. Конфиденциальность персональных данных

Работники АО «ЦРЭ» и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральными законами РФ.

7. Согласие на обработку персональных данных

АО «ЦРЭ» осуществляет обработку ПДн без согласия субъектов ПДн в случаях, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Во всех остальных случаях обработка ПДн осуществляется с согласия субъектов ПДн.

8. Права субъектов персональных данных

Субъект ПДн имеет право:
  • на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке;
  • на обжалование действий или бездействия АО «ЦРЭ» в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке в случаях если субъект ПДн считает, что АО «ЦРЭ» осуществляет обработку его ПДн с нарушением требований законодательства РФ в области ПДн;
  • на получение информации, касающейся обработки его ПДн, а именно содержащей сведения, предусмотренные ч. 7, ст. 14 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
  • на уточнение своих ПДн, их блокирование или уничтожение в случаях если, ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных целей обработки;
  • требовать от АО «ЦРЭ» принимать предусмотренные законом меры по защите прав субъекта ПДн.
Для получения информации, касающейся обработки его ПДн, субъекту ПДн необходимо направить запрос на предоставление такой информации в АО «ЦРЭ». Запрос субъекта ПДн должен соответствовать требованиям, предъявляемым в ч. 3, ст. 14 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Для уточнения, блокирования, уничтожения своих ПДн субъекту ПДн необходимо направить письменный запрос в свободной форме на осуществление таких операций в АО «ЦРЭ».

9. Права и обязанности АО «ЦРЭ»

АО «ЦРЭ» имеет право:
  • на защиту своих прав и законных интересов в судебном порядке;
  • предоставлять ПДн субъектов третьим лицам, если это предусмотрено действующим законодательством РФ (правоохранительные, судебные, налоговые органы и другие);
  • обрабатывать ПДн для достижения целей, предусмотренных международными договорами РФ или законом, для осуществления и/или выполнения возложенных законодательством РФ на АО «ЦРЭ» обязанностей, функций и полномочий;
  • отказывать в предоставлении ПДн в случаях, предусмотренных ч. 6, ст. 14 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
  • обрабатывать ПДн субъекта без его согласия, в случаях, предусмотренных ч. 1, ст. 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

АО «ЦРЭ» обязано:
  • принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами;
  • опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн;
  • принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении обрабатываемых ПДн;
  • в случае получения ПДн не от субъекта ПДн, за исключением случаев, предусмотренных ч. 4, ст. 18 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», до начала обработки таких ПДн предоставить субъекту ПДн следующую информацию:
    • наименование и адрес Оператора или его представителя;
    • цель обработки ПДн и ее правовое основание;
    • перечень предполагаемых пользователей ПДн;
    • установленные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» права субъекта ПДн;
    • источник получения ПДн.
  • предоставить безвозмездно субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к этому субъекту ПДн, согласно ч. 3 ст. 20 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
  • действовать в соответствии с положениями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» в случаях выявления неточных, неполных или неактуальных ПДн, неправомерной обработки ПДн, достижения целей обработки ПДн;
  • в случае отсутствия возможности уничтожения ПДн в течение срока, указанного в ст. 21 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», осуществить блокирование таких ПДн и обеспечить уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами РФ.

10. Меры, принимаемые АО «ЦРЭ» для выполнения обязанностей Оператора при обработке персональных данных

Меры, необходимые и достаточные для обеспечения выполнения АО «ЦРЭ» обязанностей оператора, предусмотренных законодательством РФ в области персональных данных, включают:
  • назначение лица, ответственного за организацию обработки ПДн в АО «ЦРЭ»;
  • принятие локальных нормативных правовых актов и иных документов в области обработки и защиты ПДн;
  • организацию проведения методической работы и обучения с работниками АО «ЦРЭ», осуществляющими непосредственную обработку ПДн в рамках выполнения должностных обязанностей;
  • получение согласий субъектов ПДн на обработку их ПДн за исключением случаев, предусмотренных ч. 1, ст. 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
  • обособление ПДн, обрабатываемых без использования средств автоматизации, от иной информации, в частности, путем их фиксации на отдельных материальных носителях;
  • обеспечение раздельного хранения ПДн, обработка которых осуществляется в разных целях;
  • хранение материальных носителей ПДн с соблюдением условий, обеспечивающих сохранность ПДн и исключающий несанкционированный доступ к ним;
  • осуществление внутреннего контроля соответствия обработки ПДн Федеральному закону от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, настоящей Политике, локальным нормативным актам АО «ЦРЭ»;
  • иные меры, предусмотренные законодательством РФ в области ПДн.

10.1 Меры, применяемые для защиты персональных данных Меры, по обеспечению безопасности ПДн при их обработке В АО «ЦРЭ» устанавливаются в соответствии с локальными нормативными актами АО «ЦРЭ», и могут включать:
  • определение угроз безопасности ПДн при их обработке в информационных системах ПДн;
  • применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, в том числе прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • установление правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в информационной системе ПДн;
  • иные меры защиты, предусмотренные нормативными правовыми актами в области защиты информации и ПДн.

11. Ответственность за реализацию Политики

Приказом генерального директора АО «ЦРЭ» назначается лицо, ответственное за организацию обработки ПДн в АО «ЦРЭ».
Лицо, ответственное за организацию обработки ПДн в АО «ЦРЭ» обязано:
  • осуществлять внутренний контроль за соблюдением АО «ЦРЭ» и его работниками законодательства РФ о ПДн, в том числе требований к защите ПДн;
  • доводить до сведения работников АО «ЦРЭ» положения законодательства РФ о ПДн, локальных нормативных актов АО «ЦРЭ» по вопросам обработки ПДн, требований к защите ПДн;
  • организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей и/или осуществлять контроль за приемом и обработкой таких обращений и запросов.
Приказом генерального директора АО «ЦРЭ» назначается лицо, ответственное за обеспечение безопасности ПДн при их обработке в информационных системах Пдн АО «ЦРЭ».
Лицо, ответственное за обеспечение безопасности ПДн при их обработке в информационных системах ПДн АО «ЦРЭ» обязано планировать и организовывать мероприятия по обеспечению безопасности ПДн при их обработке в информационных системах ПДн АО «ЦРЭ».
Работники АО «ЦРЭ», допущенные к обработке ПДн, за разглашение полученной в ходе своей трудовой деятельности информации, а также виновные в нарушении норм, регулирующих обработку и защиту ПДн, несут дисциплинарную, административную или уголовную ответственность в соответствии с законодательством РФ (см. Приложение А).

Приложение А

Ответственность за нарушения в области обработки и защиты персональных данных В случае несоблюдения порядка и/или правил обеспечения ИБ, установленных Политикой ИБ, виновные в этом лица несут ответственность (дисциплинарную, административную, материальную и/или уголовную) в зависимости от характера нарушения и тяжести наступивших отрицательных последствий для АО «Центр развития экономики».

Ответственность, предусмотренная Трудовым кодексом РФ
  • Работник Компании, виновный в однократном неосторожном нарушении настоящей Политики, не повлекшем существенного имущественного или неимущественного ущерба, может быть подвергнут взысканию в виде замечания (п. 1 ч. 1 ст. 192 ТК РФ).
  • Работник Компании, виновный в неоднократном неосторожном нарушении настоящей Политики, не повлекшем существенного имущественного или неимущественного ущерба, может быть подвергнут взысканию в виде выговора (п. 2 ч. 1 ст. 192 ТК РФ).
  • Работник Компании, виновный в однократном умышленном нарушении настоящей Политики, не повлекшем существенного имущественного или неимущественного ущерба, может быть подвергнут взысканию в виде выговора.
  • Работник Компании, уже имеющий взыскание за неумышленное нарушение настоящей Политики, виновный в однократном умышленном нарушении настоящей Политики, не повлекшем существенного имущественного или неимущественного ущерба, может быть подвергнут взысканию в виде выговора или увольнения (п. 2 ч. 1 ст. 192 ТК РФ и п. 5 ч. 1 ст. 81 ТК РФ).
  • Работник Компании, виновный в неоднократном умышленном нарушении настоящей Политики, не повлекшем существенного имущественного или неимущественного ущерба, может быть подвергнуты взысканию в виде выговора или увольнения (п. 2 ч. 1 ст. 192 ТК РФ и п. 5 ч. 1 ст. 81 ТК РФ).
  • Работник, виновный в разглашении конфиденциальной информации, несет полную материальную ответственность за ущерб, причиненный разглашением этой информации (п.7 ч. 1 ст. 243 ТК РФ).

Ответственность, предусмотренная Кодексом РФ об административных правонарушениях
  • Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 рублей (ст. 13.11 КоАП РФ).
  • Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением профессиональных обязанностей, влечет наложение административного штрафа на граждан в размере от 500 до 1000 рублей (ст. 13.14 КоАП РФ).

Ответственность, предусмотренная Уголовным кодексом РФ
  • Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации, наказываются штрафом в размере до 200 000 рублей или в размере заработной платы или иного дохода виновного за период до 18 месяцев, либо обязательными работами на срок до 360 часов, либо исправительными работами на срок до 1 года, либо принудительными работами на срок до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового, либо арестом на срок до 4 месяцев, либо лишением свободы на срок до 2 лет (ч. 2 ст. 183 УК РФ).
  • Разглашение или использование сведений, составляющих коммерческую тайну, без согласия Компании лицом, которому эта информация была доверена или стала известна по работе, если это преступление повлекло крупный ущерб Компании и/или было совершено из корыстной заинтересованности, наказываются штрафом в размере до 200 000 рублей или в размере заработной платы или иного дохода виновного за период до 18 месяцев, либо принудительными работами на срок до 5 лет, либо лишением свободы на срок до 5 лет (ч. 1 ст. 137 УК РФ).